"Современный ААА-сервер у операторов ШПД"
Оглавление
Взаимосвязь AAA-сервера с оборудованием оператора
Особенности реализации AAA-сервера для оборудования Cisco
Функциональность современного AAA-сервера
Телекоммуникационные стандарты, которые должен поддерживать AAA- сервер
Обзор существующих AAA-серверов
В настоящее время рынок ШПД (Широкополосного Доступа к сетям передачи данных) продолжает расти. Абонентам операторов ШПД необходим доступ к сети Интернет, а также дополнительные услуги: электронная почта, общение, аудио- и видео-контент. В условиях сильной конкуренции перед операторами связи стоит несколько важных задач - это осуществление гибкой тарифной политики, которая позволит подключить большее число абонентов, и тарификация трафика в режиме реального времени, благодаря которой удается избежать накопления задолженности абонентов перед операторами. Эти задачи являются технически сложными в связи с разнообразностью сетевых элементов у оператора ШПД и многообразием тарифов и услуг. Для решения данных задач служат AAA-сервера, которые с одной стороны подключаются к оборудованию доступа в Интернет, а с другой взаимодействуют с биллинговой системой. С оборудования на AAA-сервер поступают запросы на аутентификацию (Authentication) абонентов и авторизацию (Authorization) услуг. AAA-сервер использует базу данных для получения параметров соединения и осуществляет учет (Accounting) используемых ресурсов.
В данной статье рассматривается AAA-сервер, предназначенный для контроля доступа абонентов к сетям передачи данных и тарификацию услуг в режиме реального времени у операторов ШПД.
AAA-сервер в IMS сети
Все больше операторов связи строят мультисервисные телекоммуникационные сети связи нового поколения NGN (New Generation Network) по технологии IMS (IP Multimedia Subsystem). Поэтому поддержка открытых стандартов 3GPP для взаимодействия AAA-сервера с элементами сети оператора связи приобретает особое значение. Открытые стандарты 3GPP описывают узлы IMS сети, интерфейсы взаимодействия между ними и дают рекомендации, какие протоколы использовать в качестве этих интерфейсов. Эта логика позволяет по мере развития протоколов изменять рекомендации, но архитектуру сети оставлять без изменения. При работе AAA-сервер взаимодействует со следующими узлами IMS сети (см. Рисунок 1).
HSS (Home Subscriber Server)
Сервер домашних абонентов, в котором хранятся данные абонентов. HSS является аналогом HLR (HLR - Home Location Registry) в мобильной связи, но с большим числом функций. Для AAA-сервера наибольшее значение представляют функции аутентификации абонентов и получения информации по услугам абонентов. Если в структуре IMS присутствует GUP (General User Profile) сервер, то AAA-сервер может получать информацию из GUP сервера по Rg интерфейсу. Интерфейс Rg представляет собой набор процедур по управлению профилем абонента, таких как создание, удаление, изменение, получение нотификаций об изменении профиля и др. В качестве реализации стандарт рекомендует использовать SOAP протокол поверх HTTP.
CCF (Charging Collection Function)
С системой биллинга AAA-сервер взаимодействует по интерфейсам Ro (для on-line) и Rf (для off-line). Ro базируется на IETF Credit Control Application (RFC 4006) и использует команды Diameter протокола Credit-Control Request/Answer (CCR/CCA). Rf базируется на функциональности IETF-diameter base (RFC 3588). Rf использует команды Diameter протокола Accounting Request/Answer ACR/ACA.
BRAS (Broadband Remote Access Server)
Маршрутизатор широкополосного доступа – устройство, к которму подключаются конечные устройства абонентов для выхода в Интернет. BRAS взаимодействует с AAA-сервером по RADIUS протоколу.
Рисунок 1
Беспроводные WiMAX сети в настоящее время повсеместно вводятся в эксплуатацию. Рассмотрим подробно AAA-сервер, функционирующий в WiMAX сети связи. Существует стандарт WiMAX Forum Network Architecture (Stage 3: Detailed Protocols and Procedures), описывающий архитектуру сети и, в том числе, взаимодействие с AAA-сервером. На схеме (Рисунок 2) представлена архитектура WiMAX сети с точки зрения контроля доступа абонентов и учета трафика.
Рисунок 2
На схеме пользовательское устройство доступа “User Device” подключается по беспроводным протоколам к PPC (Prepaid Client), который взаимодействует с Accounting Server и Prepaid Server. PPC взаимодействует с Accounting Server для учета трафика и с Prepaid Server для аутентификации и выдачи квот на оборудование доступа. Accounting Server и Prepaid Server могут быть совмещены в одну сущность PPS (Prepaid Server). С точки зрения сети связи это и есть AAA-сервер (Рисунок 3)
Рисунок 3
Следующая схема (Рисунок 4) показывает, что между устройством доступа (Service Access Device) и PPS может находиться HAAA (Home AAA). HAAA – это RADIUS клиент на стороне оборудования. В этом случае PPS (AAA-сервер) взаимодействует с устройствами доступа через HAAA. Между несколькими AAA-серверами возможно организовать обмен данными для организации резервирования.
Рисунок 4
Взаимосвязь AAA-сервера с оборудованием оператора
На схеме (Рисунок 5) представлена схема взаимодействия оборудования оператора связи и AAA-сервера:
Рисунок 5
Процесс подключения абонента к Интернету в сети WiMAX состоит из следующих шагов:
- Абонент подключается к устройству доступа AGW (Access Gateway), передает свой логин и пароль;
- PPC (Prepaid Client) формирует RADIUS запросы на AAA-сервер;
- AAA-сервер запрашивает данные абонента на GUP сервере и осуществляет аутентификацию абонента;
- При успешной аутентификации AAA-сервер проводит авторизацию услуг и запрос квот по Diameter протоколу;
- В зависимости от результата AAA-сервер разрешает или запрещает абоненту выход в Интернет.
В WiMAX предусмотрено два режима функционирования AAA-сервера:
Режим Prepaid
В этом режиме взаимодействие производится с помощью RADIUS запросов Access-Request - Access-Accept/Reject (Рисунок 6). При этом AAA-сервер осуществляет полный контроль за сессией абонента. И в случае необходимости, например, при окончании денег на счету абонента, может завершить сеанс связи. Этот режим используется для тарифов с ограничениями по разрешенному трафику или времени.
Рисунок 6
Режим Posted-Paid
Взаимодействие производится с помощью RADIUS запросов Accounting-Request/Accounting-Response (Рисунок 7), в которых на AAA-сервер поступают только отчеты о потребленном трафике. Этот режим используется для безлимитных тарифов.
Рисунок 7
Рассмотрим общую схему взаимодействия по сценарию Prepaid (Рисунок 8), которая включает взаимодействие AAA-сервера с оборудованием и биллинговой системой.
- PPC посылает RADIUS запрос Access-Request с VSA (Vendor Specific) атрибутом PPAС (Prepaid Accounting Capability) на AAA-сервер;
- AAA-сервер запрашивает на GUP сервере профиль с параметрами абонента и сессии;
- После получения ответа и проверки пароля AAA-сервер посылает запрос CCR Initial на установку Diameter сессии и получение квоты;
- При получении положительного ответа AAA-сервер формирует Access-Accept с квотой, которая передается в VSA атрибуте PPAQ (Prepaid Accounting Quota);
- После исчерпания квоты PPC посылает новый RADIUS запрос Access-Request с отчетом о потраченном трафике в VSA атрибуте PPAQ;
- AAA-сервер тарифицирует потраченный трафик и запрашивает новую квоту в Diameter запросе CCR Update;
- При получении положительного ответа AAA-сервер опять отвечает Access-Accept;
- Обмен сообщениями Access-Request/Access-Accept продолжается до окончания сеанса связи. В последний Access-Request включается VSA атрибут PPAQ c параметром Disconnect;
- AAA-сервер завершает Diameter сессию запросом CCR Terminate.
Рисунок 8
Особенности реализации AAA-сервера для оборудования Cisco
Для взаимодействия с оборудованием Cisco необходимо c помощью протокола RADIUS реализовать специфичную логику (Рисунок 9):
- Cisco BRAS посылает RADIUS запрос Access-Request на AAA-сервер;
- AAA-сервер запрашивает на GUP сервере профиль с параметрами абонента и сессии;
- После получения ответа и проверки пароля AAA-сервер формирует Access-Accept со списком сервисов в VSA Cisco-Service-Info, подключенных абоненту. В примере это сервис “Внешний Интернет“;
- После получения этого списка Cisco BRAS по каждому сервису запрашивает его конфигурацию;
- В зависимости от конфигурации абоненту открывается доступ на определенные группы ресурсов с заданной скоростью;
- После этого по каждому сервису Cisco BRAS запрашивает квоты (авторизация квоты);
- AAA-сервер отправляет запрос CCR Initial на установку Diameter сессии и получение квоты;
- При получении положительного ответа AAA-сервер отвечает Access-Accept с квотой, которая передается в VSA атрибуте Cisco-Control-Info;
- После этого Cisco BRAS начинает периодически присылать отчеты по расходу трафика Accounting-Request и при исчерпании выделенной квоты запросы Access-Request на реавторизацию квоты с отчетом о потраченном трафике в VSA атрибуте Cisco-Control-Info;
- AAA-сервер тарифицирует потраченный трафик и запрашивает новую квоту в Diameter запросах CCR Update;
- При получении положительных ответов AAA-сервер отвечает Access-Accept;
- Обмен сообщениями Access-Request/Access-Accept продолжается до окончания сеанса связи, который завершается пакетом Accounting-Request с типом Stop;
- AAA-сервер завершает Diameter сессию запросом CCR Terminate;
- При необходимости переключения скорости во время сеанса связи или отключения абонента используются RADIUS запросы CoA (Change of Authorization).
Рисунок 9
Функциональность современного AAA-сервера
Функциональность, которую должен обеспечивать AAA-сервер
· Прием запросов от устройств контроля доступа и управление оборудованием по протоколу RADIUS;
· Аутентификация абонентов, включая возможность проверки зашифрованных паролей;
· Установление сеанса связи в зависимости от параметров в профиле абонента, хранящегося в базе данных. Например, скорость доступа или доступные Интернет ресурсы;
· Ограничение числа сессий абонента. Например, оператор связи может ограничить число подключений с одинаковым логином или разрешить дополнительные сессии за плату;
· Запрос квот и учет трафика. Для этих целей стандартом является протокол Diameter. Он позиционируется, как расширение RADIUS для более гибкой тарификации услуг;
· Контроль расхода квоты по продолжительности сессии или по объему трафика, включая возможность тарифицировать отдельно входящий и исходящий трафик;
· Возможность управлять оборудованием доступа в режиме реального времени. Например, абонент во время сеанса связи может увеличить скорость доступа, включив в системе самообслуживания соответствующую опцию (“Турбо кнопка”).
· Логическое управление сессиями в зависимости от информации в профиле абонента. Например, переключение скорости доступа в зависимости от времени суток или дня недели;
· Получение изменений параметров в профиле абонента в реальном времени. Это происходит, например, если абонент изменил в системе самообслуживания свой тарифный план или скорость подключения;
· Формирование CDR (Call Data Record) файлов с информацией о потраченных абонентом ресурсах для последующей тарификации. Это необходимо для автономной работы AAA-сервера, например в случае, если недоступна биллинговая система.
Требования для удобства развертывания и обслуживания AAA-сервера
· Возможность установки нескольких AAA-серверов для резервирования в случае отказа оборудования;
· Настроечные параметры и изменения в профилях абонентов должны применяться без прерывания обслуживания;
· Возможность взаимодействовать с несколькими RADIUS клиентами;
· Возможность управления и получение статистической информации, например, по протоколу SNMP;
· Мультиплатформенность. Чем больше операционных систем поддерживает AAA-сервер, тем лучше, т.к. это увеличивает возможности выбора оборудования для операторов связи.
· Накопление объемов потраченного трафика. Например, для того, чтобы ограничивать скорость доступа абонентам, которые потребляют слишком много трафика;
· Применение скидок и осуществление скидочных программ.
Телекоммуникационные стандарты, которые должен поддерживать AAA- сервер
· RFC 2865 “Remote Authentication Dial In User Service (RADIUS)” - аутентификация абонентов по RADIUS протоколу;
- RFC 2866 “RADIUS Accounting” – учет трафика по RADIUS протоколу;
- RFC 3576 Change of Authorization - управление сеансом связи: изменение скорости, завершение сеанса;
- RFC 4006 – DCCA (Diameter Credit-Control Application) – протокол Diameter;
Стандарты для взаимодействия с оборудованием доступа:
- Для сетей WiMAX: WiMAX Forum Network Architecture (Stage 3: Detailed Protocols and Procedures);
- Для сетей ADSL: RFC 4679 DSL Forum Vendor-Specific RADIUS Attributes;
- Для сетей, построенных с использованием оборудования Cisco: “ISG (Intelligent Services Gateway) RADIUS Interface”.
Чтобы удовлетворять современным требованиям операторов связи AAA-сервер должен реализовать:
· Поддержку разнообразного оборудования доступа в Интернет;
· Отказоустойчивость и резервирование всех компонентов;
· Гибкость настройки для поддержки существующих и будущих тарифов оператора связи.
Многие производители телекоммуникационного оборудования и биллинговых систем разработали AAA-сервера для операторов ШПД. ПЕТЕР-СЕРВИС не является исключением и предлагает AAA-сервер, который называется BRM (BRT-RADIUS Mediation). Схема взаимодействия BRM с другими продуктами ПЕТЕР-СЕРВИС см. Рисунок 10. BRM полностью удовлетворяет требованиям к AAA-серверам и является оптимальным решением для операторов ШПД, которые используют или собираются использовать биллингувую систему производства компании ПЕТЕР-СЕРВИС.
Рисунок 10
Обзор существующих AAA-серверов
В таблице представлены компании и характеристики поставляемых AAA-сервера для операторов ШПД. Таблица дает общее представление о решениях компаний, более подробную информацию можно получить на сайтах производителей.
|
Производитель |
AAA-сервер |
|
|
Билл-Мастер |
AAA-сервер в рамках АСР “Билл-Мастер” |
|
|
Поддержка оборудования по RADIUS |
Cisco ISG |
|
|
Тарификация |
Diameter, Netflow, SNMP, Remote Shell (RSH), NetSream |
|
|
Получение профилей абонентов |
Собственная БД |
|
|
Управление и статистика |
Собственнй веб интерфейс |
|
|
Достоинства: Широкая поддержка возможностей оборудования Cisco |
||
|
Недостатки: Ограниченная поддержка других производителей оборудования доступа |
||
|
ПЕТЕР-СЕРВИС |
ПЕТЕР-СЕРВИС BRM |
|
|
Поддержка оборудования по RADIUS |
ZTE (WiMAX), Cisco ISG, Alcatel-Lucent |
|
|
Тарификация |
Diameter протокол |
|
|
Получение профилей абонентов |
Из GUP сервера |
|
|
Управление и статистика |
По SNMP протоколу |
|
|
Достоинства: Мультиплатформенность (HP, Windows), резервирование всех узлов |
||
|
Недостатки: Взаимодействие только с собственной биллинговой системой BIS |
||
|
Протей
|
AAA-сервер в рамках архитектуры PROTEI WIX |
|
|
Поддержка оборудования по RADIUS |
Нет данных |
|
|
Тарификация |
Diameter протокол |
|
|
Получение профилей абонентов |
Сервис Гида, БД абонентов |
|
|
Управление и статистика |
поддержка SNMP для интеграции с системами эксплуатации |
|
|
Достоинства: EAP-SIM аутентификация Тарификация в зависимости от местоположения пользователя |
||
|
Недостатки: Нет выбора операционной системы |
||
|
ComAbility
|
ComAbility neXus |
|
|
Поддержка оборудования по RADIUS |
Cisco |
|
|
Тарификация |
Собственная БД |
|
|
Получение профилей абонентов |
LDAP |
|
|
Управление и статистика |
neXus’ Subscriber Management and Provisioning management system |
|
|
Достоинства: Наличие DHCP аутентификации |
||
|
Недостатки: Ограниченная поддержка других производителей оборудования доступа |
||
|
Hewlett-Packard
|
HP Internet Usage Manager (IUM) |
|
|
Поддержка оборудования по RADIUS |
Получение информации из DPI устройств |
|
|
Тарификация |
Diameter |
|
|
Получение профилей абонентов |
Subscriber’s/Profiles DB |
|
|
Управление и статистика |
Web-based IUM Operations Console Встроенный Audit Reporting |
|
|
Достоинства: Возможность построения полной архитектуры сети на оборудовании HP Встроенный модуль исправления поврежденных CDR записей |
||
|
Недостатки: Сложность в настройке |
||
|
Huawei
|
InfoX-AAA |
|
|
Поддержка оборудования по RADIUS |
Huawei |
|
|
Тарификация |
Diameter протокол |
|
|
Получение профилей абонентов |
Собственная БД |
|
|
Управление и статистика |
По SNMP протоколу |
|
|
Достоинства: Возможность построения полной архитектуры сети на оборудовании Huawei |
||
|
Недостатки: Поддержка только собственного оборудования |
||
|
NGN |
Next Generation Network – интегрированная телекоммуникационная сеть, использующая в качестве фундамента протокол IP, как для передачи данных, так и для голосовых соединений; |
|
IMS |
IP Multimedia Subsystem – унифицированная архитектура, описывающая как взаимодействия сетей NGN с сетями предыдущих поколений, так и аспекты управления услугами. |
|
AAA- сервер |
Сервер для осуществления функций аутентификации (Authentication), авторизации (Authorization) и учета (Accounting) |
|
AC |
Access Controller - контроллер доступа |
|
AGW |
Access Gateway - шлюз доступа |
|
BRM |
BRT-RADIUS Mediation – AAA-сервер производства ПЕТЕР-СЕРВИС |
|
Diameter протокол |
RADIUS следующего поколения |
|
NAS |
Network Access Server - cервер/маршрутизатор сетевого доступа |
|
PPAС |
Prepaid PrePaid Accounting Capability – VSA для WiMAX сети, в котором приходит список функций, поддерживаемых оборудованием доступа |
|
PPAQ |
Prepaid Accounting Operation (Quota) – VSA для WiMAX сети, в котором приходит объем потраченного абонентом трафика |
|
PPC/ PPS |
Prepaid Client/ Prepaid Server – сетевые элементы WiMAX сети |
|
RADIUS протокол |
Remote Authentication Dial-in User Service |
|
VSA |
Vendor Specific Attribute - дополнительный RADIUS атрибут, служащий для передачи информации, специфичной для производителя оборудования доступа |
|
ШПД |
Широкополосный Доступ к сетям передачи данных |
|
Cisco ISG |
Cisco Intelligent Services Gateway – интеллектуальный сервисный шлюз для построения BRAS |
|
BRAS |
Broadband Remote Access Server - маршрутизатор широкополосного доступа |
|
CoA |
Change of Authorization - расширение RADIUS протокола для динамической авторизации (RFC 3576). Используется в Cisco ISG. |
· Консорциум 3GPP (3'rd Generation Partnership Project) : www.3gpp.org
· IETF cтандарты (RFC): www.ietf.org
· WIMAX Forum www.wimaxforum.org
· Оборудование Cisco: www.cisco.com
Автор
Алексей Сушков
Главный инженер группы "Телеком"
Третьего производственного отдела
ЗАО "ПЕТЕР-СЕРВИС"
Телефон: +7 812 3261299 доб. 0352
Факс: +7 812 3261298
E-mail: Alexey.Sushkov@billing.ru
Январь 2010